Salut,
je veux installer un 2eme "ipcop" + "copfilter" sur une nouvelle machine, celle ci se trouverais derriere mon IPCOP1
Je voudrais ainsi n'utiliser que les fonctions de proxy/filtre/av... de copfilter (pas besoin de 2 fw) et donc pour celà désactiver le fw d'ipcop2.
NET-----FW (ipcop1) --------proxy/av (ipcop2 + copfilter)------------LAN
Est ce possible ?
Desactiver la Fonction Firewall d'IPCOP
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
Desactiver la Fonction Firewall d'IPCOP
par dbzh » 14 Déc 2005 17:31
- dbzh
- Quartier Maître
- Messages: 18
- Inscrit le: 10 Déc 2005 02:21
par Fesch » 14 Déc 2005 23:41
Je ne vois pas trop l'utilité, mais à mon avis ce sera plus simple de désactiver les fonctions Proxy sur ton Ipcop1, d'y installer BOT afin de bloquer tout traffic sauf celui venant de Ipcop2 et d'utiliser le schéma suivant:
Alors tous les PC doivent obligatoirement passer par Ipcop2 pour le Proxy ...
- Code: Tout sélectionner
internet ----- ipcop 1
|
/-------------------\
| | | |
ipcop2 Pc1 Pc2 Pc3
Alors tous les PC doivent obligatoirement passer par Ipcop2 pour le Proxy ...
Pourquoi lis-tu ceci???
-
Fesch - Amiral
- Messages: 2505
- Inscrit le: 11 Sep 2003 00:00
- Localisation: Luxembourg
par dbzh » 16 Déc 2005 11:54
merci cependant j'ai besoin d'un peu plus d'explications 
Je devrais installer IPCOP2 sur le green au meme niveau que mon lan ça c'est ce que je vois sur ton shéma, et donc configurer le proxy des pc clients pour qu'ils passent par IPCOP2. Donc TOUT le traffic du green passe par IPCOP2.
Je ne connais pas bien les fonctions de BOT, mais je suppose qu'il doit bloquer le traffic green--->red sauf exeptions c ça ?
Pour mes regles (transfert de port ...) qui sont sur IPCOP1 actuellement dois-je aussi les paramétrer dans IPCOP2 ??? ou bien les supprimer d'ipcop1 pour que seul ipcop 2 redirige ?
Dernière question
quand je vais installer IPCOP2 je doit choisr quel interface (config) réseau ?
GREEN + RED ou GREEN ?
Merci pour l'aide
Je devrais installer IPCOP2 sur le green au meme niveau que mon lan ça c'est ce que je vois sur ton shéma, et donc configurer le proxy des pc clients pour qu'ils passent par IPCOP2. Donc TOUT le traffic du green passe par IPCOP2.
Je ne connais pas bien les fonctions de BOT, mais je suppose qu'il doit bloquer le traffic green--->red sauf exeptions c ça ?
Pour mes regles (transfert de port ...) qui sont sur IPCOP1 actuellement dois-je aussi les paramétrer dans IPCOP2 ??? ou bien les supprimer d'ipcop1 pour que seul ipcop 2 redirige ?
Dernière question
quand je vais installer IPCOP2 je doit choisr quel interface (config) réseau ?
GREEN + RED ou GREEN ?
Merci pour l'aide
- dbzh
- Quartier Maître
- Messages: 18
- Inscrit le: 10 Déc 2005 02:21
par dbzh » 16 Déc 2005 12:59
1er raison : Pour des probleme de sécurité IPCOP est un FW trés éfficace mais plus tu lui rajoute des MOD plus il deviens exposé à des failles. Si un de tes mod à une failles l'attaquant peu donc avoir acces à des données contenu su ipcop et plus encore.
2eme : Copfilter est assez gourmand en ressource, comme le pc est peu puissant çàa pourrais poser des probleme de ralentissement ou bug.
derniere : pour le plaisir de résoudre des casses tetes
voilà
merci de participer
2eme : Copfilter est assez gourmand en ressource, comme le pc est peu puissant çàa pourrais poser des probleme de ralentissement ou bug.
derniere : pour le plaisir de résoudre des casses tetes
voilà
merci de participer
- dbzh
- Quartier Maître
- Messages: 18
- Inscrit le: 10 Déc 2005 02:21
par ShonGail » 16 Déc 2005 13:15
Sur ton ipcop2, il va t'être difficile de désactiver les fonctions de routage NAT.
En ce qui concerne la partie firewall, Ipcop d'origine ne bloque pas les connexions LAN->WAN mais bloque tous les ports WAN->IPcop (sauf le 113)
Dans la configuration de Fesh, tout ton traffic passe seulement par Ipcop1 SAUF les requêtes HTTP qui sont envoyées vers IPCOP2 (déclaré sur les postes clients en proxy)
Pour s'assurer que les postes ne puissent directement passer par Ipcop1 pour les requêtes HTTP (modification du proxy, nouveau poste client, ...), il te propose de désactiver le proxy et de bloquer toutes les connections sur le port 80 ne venant pas d'IPcop2 (à l'aide d'un ADDON ou en éditant le rc.firewall - c'est plus casse-tête ca devrait te plaire )
Mais bon c'est completement détourner IPcop de son rôle. Perso je mettrais tout sur la même machine.
Je ne connais pas bien copfilter mais si son but est d'installer un redirecteur (squiguard, dansguardian), je ne vois pas les failles qu'il ouvrirait. Aucun service n'est installé et ouvert sur le RED. Aucun non plus sur le GREEN.
En ce qui concerne la partie firewall, Ipcop d'origine ne bloque pas les connexions LAN->WAN mais bloque tous les ports WAN->IPcop (sauf le 113)
Dans la configuration de Fesh, tout ton traffic passe seulement par Ipcop1 SAUF les requêtes HTTP qui sont envoyées vers IPCOP2 (déclaré sur les postes clients en proxy)
Pour s'assurer que les postes ne puissent directement passer par Ipcop1 pour les requêtes HTTP (modification du proxy, nouveau poste client, ...), il te propose de désactiver le proxy et de bloquer toutes les connections sur le port 80 ne venant pas d'IPcop2 (à l'aide d'un ADDON ou en éditant le rc.firewall - c'est plus casse-tête ca devrait te plaire
)
Mais bon c'est completement détourner IPcop de son rôle. Perso je mettrais tout sur la même machine.
Je ne connais pas bien copfilter mais si son but est d'installer un redirecteur (squiguard, dansguardian), je ne vois pas les failles qu'il ouvrirait. Aucun service n'est installé et ouvert sur le RED. Aucun non plus sur le GREEN.
-
ShonGail - Lieutenant de vaisseau
- Messages: 207
- Inscrit le: 21 Fév 2003 01:00
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité